Vérification Client tjrs présent et correct par rapport à l'AD

Vérification Client tjrs présent et correct par rapport à l'AD - Poste de travail - Systèmes & Réseaux Pro

Marsh Posté le 17-10-2013 à 16:55:27    

Bonjour,
 
Je suis en train de bosser sur les problèmes d'authentification (plusieurs cas différents) de postes clients qui ne peuvent plus s'authentifier sur l'AD.
Par rapport à ce problème spécifique, j'essai de trouver les différentes méthodes et outils capables côté client(le plus possible) de diagnostiquer.
 
Ce que je sais, c'est qu'il faut vérifier que :
- Que le nom machine est bien présent sur l'AD (par la MMC AD)
- le password Machine est synchronisé avec l'AD (par nltest)
- le SID Machine correspond entre le PC et l'AD (par ????)
 
Quoi d'autre peut-on vérifier ?
 
Merci :)


Message édité par akizan le 17-10-2014 à 13:28:31
Reply

Marsh Posté le 17-10-2013 à 16:55:27   

Reply

Marsh Posté le 24-10-2013 à 13:14:04    

http://social.technet.microsoft.co [...] ailed.aspx
 
PSGETSID permet de diagnostiquer certains problèmes avec l'AD


Message édité par akizan le 24-10-2013 à 14:38:06
Reply

Marsh Posté le 07-07-2014 à 13:41:34    

Je m'auto répond :
NETDOM /VERIFY ainsi que NLTEST.EXE permettent de diagnostiquer les connexions AD avec les clients.

Reply

Marsh Posté le 07-07-2014 à 13:55:15    

Test-ComputerSecureChannel en Powershell
 
ou sinon l'analyse des trames Kerberos notamment

Reply

Marsh Posté le 07-07-2014 à 14:00:32    

Jamais fait de l'analyse de trames mais ça peut m'intéresser.
Sinon tout simplement je test un accès ipc$

Reply

Marsh Posté le 08-07-2014 à 17:48:48    

ensuite je vérifie le réseau :  
le classique : ipconfig /all
l'activation du firewall ou non : je le désactive
le bon nslookup pour vérifier le dns
Vérifier la liste des suffixes dns
Vérifier dans le pire des cas si le fichier host du pc n'est pas rempli.
Vérifier l'heure de la machine.
 
Sur l'ad, regarde si le compte n'est pas déjà crée en faisant une recherche.
 
En général, rien qu'avec ça tu résolues 80% des problèmes si conf réseau OK.
 
Mais quand tu parles de postes qui ne s'authentifie plus. Tu parles bien au sens ordinateurs et non au sens utilisateurs ?
 


Message édité par PsYKrO_Fred le 08-07-2014 à 17:50:46
Reply

Marsh Posté le 08-07-2014 à 18:27:03    

oui au sens ordinateur :)

Reply

Marsh Posté le 14-10-2014 à 16:21:39    

J'ai toujours de temps en temps des postes qui ne se connectent plus au domaine avec du ACCESS_DENIED quand je lance du NLTEST...
 
Pour la recherche des causes de ce dysfonctionnement, je pars de cet article :
http://windowsitpro.com/security/u [...] l-problems

Reply

Marsh Posté le 14-10-2014 à 16:46:28    

Un simple décalage niveau horloge peut générer ça aussi.

Reply

Marsh Posté le 14-10-2014 à 17:26:11    

J'ai déjà vérifié ce point et le timing est correct.
Évidemment, j'ai des erreurs dans l'event viewer car le PC ne peut plus dans l'état où il est se synchroniser avec le contrôleur de domaine en NTP mais l'heure est bonne entre un "PC secure broken channel" et un PC sur le domaine.


Message édité par akizan le 14-10-2014 à 17:26:42
Reply

Marsh Posté le 14-10-2014 à 17:26:11   

Reply

Marsh Posté le 14-10-2014 à 17:55:43    

Voila le résultat des quelques tests :
 

Code :
  1. C:\>nltest /sc_verify:mondomaine
  2. Indicateurs : 80
  3. Nom du contrôleur de domaine approuvé
  4. Statut de la connexion du contrôleur de domaine approuvé Status = 5 0x5 ERROR_ACCESS_DENIED
  5. Vérification de l'approbation Status = 5 0x5 ERROR_ACCESS_DENIED
  6. La commande a été correctement exécutée
  7. C:\>


 

Code :
  1. C:\>nltest /sc_query:mondomaine
  2. Indicateurs : 0
  3. Nom du contrôleur de domaine approuvé
  4. Statut de la connexion du contrôleur de domaine approuvé Status = 5 0x5 ERROR_ACCESS_DENIED
  5. La commande a été correctement exécutée
  6. C:\>


 

Code :
  1. C:\>nltest /dclist:mondomaine
  2. Obtenez la liste des contrôleurs du domaine « mondomaine » à partir de
  3. « \\DC.mondomaine ».
  4. Vous n'avez pas accès à DsBind pour mondomaine (\\DC.mondomaine) (essai avec NetServerEnum).
  5. I_NetGetDCList a échoué : Status = 87 0x57 ERROR_INVALID_PARAMETER


 

Code :
  1. C:\>netdom verify mamachine /Domain:mondomaine
  2. Le canal sécurisé de mamachine vers mondomaine n'est pas valide.
  3. Accès refusé.
  4. Accès refusé.
  5. L'opération ne s'est pas bien déroulée.


 

Code :
  1. C:\>nltest /server:mamachine /sc_query:mondomaine
  2. Indicateurs : 0
  3. Nom du contrôleur de domaine approuvé
  4. Statut de la connexion du contrôleur de domaine approuvé Status = 5 0x5 ERROR_AC
  5. CESS_DENIED
  6. La commande a été correctement exécutée


 

Code :
  1. PS C:\> Test-ComputerSecureChannel
  2. False
  3. PS C:\>


 

Code :
  1. C:\>nltest /cdigest:MESSAGETOHASH /domain:mondomaine
  2. L'obtention du RID d'approbation a échoué : Status = 1789 0x6fd ERROR_TRUSTED_RE
  3. LATIONSHIP_FAILURE


 

Code :
  1. C:\>nltest /sc_reset:mondomaine
  2. I_NetLogonControl a échoué : Status = 5 0x5 ERROR_ACCESS_DENIED


 
Toutes les commandes ont été exécutées à partir de la machine en question et avec un compte admin local.


Message édité par akizan le 15-10-2014 à 08:40:26
Reply

Marsh Posté le 15-10-2014 à 09:42:45    

l'admin local d'une machine 'na pas de droit sur le domaine....


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 15-10-2014 à 09:46:05    

Et quand tu fais un test-computerchannel -repair (dans une invite en admin) il se passe quoi ?

Reply

Marsh Posté le 15-10-2014 à 15:15:51    

skoizer a écrit :

l'admin local d'une machine 'na pas de droit sur le domaine....


 
D'un côté, cela parait logique mais je vois pas comment nltest à partir d'un autre machine sur le domaine va pouvoir tester si tout va bien...
Je vais refaire les tests quand même en utilisant systématiquement "nltest /server:mamachine" à partir d'un PC sur le domaine = OK et mamachine = le PC broken channel.
 

nebulios a écrit :

Et quand tu fais un test-computerchannel -repair (dans une invite en admin) il se passe quoi ?


 
J'essai ça en plus.
 
Merci ^^


Message édité par akizan le 15-10-2014 à 15:16:24
Reply

Marsh Posté le 17-10-2014 à 13:25:25    

Voila le résultat des derniers tests :
 

Code :
  1. PS C:\> Test-ComputerSecureChannel -repair
  2. Test-ComputerSecureChannel : Impossible de réinitialiser le mot de passe du
  3. canal de sécurité pour le compte de l'ordinateur dans le domaine. L'opération
  4. a échoué avec l'exception suivante: Échec d'ouverture de session: nom
  5. d'utilisateur inconnu ou mot de passe incorrect.
  6. .
  7. Au caractère Ligne:1 : 1
  8. + Test-ComputerSecureChannel -repair
  9. + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  10.     + CategoryInfo          : OperationStopped: (mamachine:String) [Test-Comp
  11.    uterSecureChannel], InvalidOperationException
  12.     + FullyQualifiedErrorId : FailToResetPasswordOnDomain,Microsoft.PowerShell
  13.    .Commands.TestComputerSecureChannelCommand


 

Code :
  1. C:\>nltest /server:mamachine /sc_verify:mondomaine.fr
  2. I_NetLogonControl a échoué : Status = 5 0x5 ERROR_ACCESS_DENIED


 

Code :
  1. C:\>nltest /server:mamachine /sc_query:mondomaine.fr
  2. I_NetLogonControl a échoué : Status = 5 0x5 ERROR_ACCESS_DENIED


 

Code :
  1. C:\>nltest /server:mamachine /dclist:mondomaine.fr
  2. Obtenez la liste des contrôleurs du domaine « mondomaine.fr » à partir de
  3. « \\Server1.mondomaine.fr ».
  4.     Server2.mondomaine.fr        [DS] Site : MonSite
  5.     Server1.mondomaine.fr [PDC]  [DS] Site : MonSite
  6.     Server3.mondomaine.fr        [DS] Site : MonSite
  7. La commande a été correctement exécutée


 

Code :
  1. C:\>nltest /server:mamachine /cdigest:MESSAGETOHASH /domain:mondomaine.fr
  2. L'obtention du RID d'approbation a échoué : Status = 5 0x5 ERROR_ACCESS_DENIED


 

Code :
  1. C:\>nltest /server:mamachine /sc_reset:mondomaine.fr
  2. I_NetLogonControl a échoué : Status = 5 0x5 ERROR_ACCESS_DENIED


 
Les commandes ont été exécutées sur un PC du domaine avec un compte admin du domaine.
Je ne comprends pas pourquoi on se retrouve encore avec des ACCESS_DENIED...


Message édité par akizan le 17-10-2014 à 13:26:38
Reply

Marsh Posté le 21-10-2014 à 00:35:20    

Salut,

 

Tu as combien de DC ?

 

J'ai déjà eu un cas similaire avec un DC secondaire qui est resté éteint le temps des vacances alors que le principal continuait à tourner (histoire de Tombstone life)

 

Tu es sûr de l'heure, les dates sont synchro aussi j'imagine..?

Reply

Marsh Posté le 21-10-2014 à 11:49:05    

Est-ce que tu as des events 5719 ou 40960 dans EventLog > System ?

Reply

Marsh Posté le 21-10-2014 à 12:56:12    

3 DC, 2 physiques et 1 virtuel.
Ils sont up 24/24 7/7
 
Oui, au niveau de la synchro, y'a pas de soucis non plus.

Reply

Marsh Posté le 15-12-2014 à 15:38:21    

J'ai un peu le même soucis en ce moment
 
Tu t'en es sortis comment akizan ?


---------------
Vente LBC : https://www.leboncoin.fr/profil/9dd [...] 2b4/offres
Reply

Marsh Posté le 20-12-2014 à 14:23:11    

on travaille dessus encore...
pour trouver la cause on fait des exports de l'objet ordinateur en état et après remise sur le domaine pour comparer les différences.
on fait également des traces réseaux :
1. on désactive la carte réseau
2. on lance une trace
3. on active la carte réseau
4. on regarde ce qui ce passe.
 
Bref, on cherche...

Reply

Marsh Posté le 30-12-2014 à 09:41:35    

et toi zeuth, tu en es où ?

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed